ping

butek · Post autor: **butek** » 13 października 2007, 16:48

Mam problem z pingami
Konfiguracja
1) Serwer 172.23.198.1 do którego jest podłaczony switch "A"
2) Do switcha "A" jest podłączonych 16 stacji z sieci 172.23.198.0/24 . Między nimi i serwerem pingi chodzą
3) Do switcha "A" ponadto jest podłączony drugi switch "B" , do którego jest podłączonych 20 stacji z sieci 192.168.10/24 obsługiwanych przez inny serwer
4) Do switcha "B" jest podłączony switch "C" i 4 stacje w sieci 172.23.198.0 i UWAGa między tymi stacjami pingi NIE CHODZ¡, ale mają okno na świat przez serwer 172.23.198.1 - dlaczego ??
Mój firewall

# czyszczenie starych regul
iptables -F
iptables -X
iptables -t nat -X
iptables -t nat -F
# ustawienie polityki dzialania
iptables -P INPUT DROP
iptables -P FORWARD DROP
iptables -P OUTPUT ACCEPT

iptables -A INPUT -p udp --dport 22 -j ACCEPT
iptables -A INPUT -p tcp --dport 22 -j ACCEPT

iptables -A INPUT -p udp --dport 53 -j ACCEPT
iptables -A INPUT -p tcp --dport 53 -j ACCEPT

iptables -A INPUT -p udp --dport 4025 -j ACCEPT
iptables -A INPUT -p tcp --dport 4025 -j ACCEPT

iptables -A INPUT -p udp --dport 42 -j ACCEPT
iptables -A INPUT -p tcp --dport 42 -j ACCEPT

iptables -A INPUT -i eth0 -s 172.23.198.0/24 -j ACCEPT

iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT

iptables -A INPUT -p tcp --dport 9400 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9402 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 2049 -m state --state NEW -j ACCEPT

iptables -A INPUT -p tcp --dport 4025 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 4025 -m state --state NEW -j ACCEPT

iptables -A INPUT -p tcp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT -p tcp --dport 3128 -m state --state NEW -j ACCEPT

iptables -A INPUT -p udp --dport 8080 -m state --state NEW -j ACCEPT
iptables -A INPUT -p udp --dport 3128 -m state --state NEW -j ACCEPT

iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9400 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9401 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9402 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 9403 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 111 -j ACCEPT
iptables -I FORWARD -p tcp -s 172.23.198.0/24 --dport 2049 -j ACCEPT

iptables -A OUTPUT -p tcp --dport 9400 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9401 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9402 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 9403 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 111 -m state --state NEW -j ACCEPT
iptables -A OUTPUT -p tcp --dport 2049 -m state --state NEW -j ACCEPT

iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -o lo -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 22 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 22 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 53 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 53 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 42 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 42 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 42 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 42 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 3128 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 8080 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p udp --dport 8080 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.1 -p udp --dport 8080 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9400 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.1 -p tcp --dport 9403 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 3128 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT
iptables -A OUTPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 3128 -j ACCEPT

iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 111 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9400 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 2049 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9401 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9402 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 9403 -j ACCEPT

#Port Nagios
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p tcp --dport 12489 -j ACCEPT
iptables -A INPUT -s 0/0 -d 172.23.198.0/24 -p udp --dport 12489 -j ACCEPT

#ping
iptables -A INPUT -p icmp --icmp-type echo-request -j ACCEPT
iptables -A OUTPUT -p icmp --icmp-type echo-request -j ACCEPT

# polaczenia nawiazane
iptables -A INPUT -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A FORWARD -j ACCEPT -m state --state ESTABLISHED,RELATED
iptables -A OUTPUT -j ACCEPT -m state --state ESTABLISHED,RELATED

# udostepniaie internetu w sieci lokalnej

iptables -t filter -A FORWARD -s 172.23.198.0/255.255.255.0 -d 0/0 -j ACCEPT
iptables -t filter -A FORWARD -s 0/0 -d 172.23.198.0/255.255.255.0 -j ACCEPT

iptables -t nat -A POSTROUTING -s 172.23.198.0/24 -j MASQUERADE

iptables -t nat -A PREROUTING -s 172.23.198.0/24 -p tcp -d 0/0 --dport 80 -j DNAT --to-destination 172.23.198.1:3128

--
Używam klienta poczty Opera Mail: http://www.opera.com/mail/

nightwish86 · Post autor: **nightwish86** » 13 października 2007, 17:43

Sprawdź tablicę routingu i z palca ustaw hopy dla pakietów. Powinno banglać

butek · Post autor: **butek** » 13 października 2007, 18:44

Tablica routingu

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
localnet        *               255.255.255.0   U     0      0        0 eth1
172.23.198.0    *               255.255.255.0   U     0      0        0 eth0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth1

eth0: 172.23.198.1
eth1: 192.168.1.35
Co to są "hopy" ?

kayo · Post autor: **kayo** » 13 października 2007, 19:33

butek pisze:Tablica routingu

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
localnet        *               255.255.255.0   U     0      0        0 eth1
172.23.198.0    *               255.255.255.0   U     0      0        0 eth0
default         192.168.1.1     0.0.0.0         UG    0      0        0 eth1

eth0: 172.23.198.1
eth1: 192.168.1.35
Co to są "hopy" ?

Powtórzę to co na DUGu: routing ustawiony? Z tego co widzę to nie. Więc pakiety nie wiedzą jak latać.

butek · Post autor: **butek** » 13 października 2007, 19:50

Czy to wystarczy ? Nie łapie tego ...

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
172.23.198.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth1

nightwish86 · Post autor: **nightwish86** » 13 października 2007, 20:04

Pakiety muszą wiedzieć, gdzie przejść po kolejnym hopie (hop = przeskok pakietu skutkujący zmniejszeniem TTL). Twoje pakiety wiedzą jak lecieć "W świat" ale nie wiedzą jak poruszać się po sieci lokalnej.

butek · Post autor: **butek** » 14 października 2007, 08:43

A dlaczego stacje podłączone do switcha "A" pingują do siebie ?

kayo · Post autor: **kayo** » 14 października 2007, 10:26

butek pisze:A dlaczego stacje podłączone do switcha "A" pingują do siebie ?

Czy switch A jest zarzadzalny i ma ustawione vlany? Jesli nie to bedziesz mial w pewnym czasie klopoty i bedziesz sie zastanawial dlaczego ci siec siada. Jesli tak mozliwe ze sam switch zapewnia juz miedzy vlanami komunikacje

butek · Post autor: **butek** » 14 października 2007, 10:55

Zmieniłem tablicę routingu
I jak ma to sens ?

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     192.168.1.35    255.255.255.0   UG    0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
172.23.198.0    172.23.198.1    255.255.255.0   UG    0      0        0 eth0
172.23.198.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth1

Nie potrafię usunąć tych linii

Kod: Zaznacz cały

192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

Kod: Zaznacz cały

172.23.198.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0

Jak je usuwam to usuwają się trasy z bramkami (UG)

regi · Post autor: **regi** » 14 października 2007, 12:41

butek pisze: 4) Do switcha "B" jest podłączony switch "C" i 4 stacje w sieci 172.23.198.0 i UWAGa między tymi stacjami pingi NIE CHODZ¡, ale mają okno na świat przez serwer 172.23.198.1 - dlaczego

sluchaj po piwrwsze (mimo ze starales sie jasno przedstawic sprawe) to ja na przyklad nie wiem o jakie kompy ci chodzi w tym zdaniu

nie chodza ci pingi miedzy kompami z sieci 172.23.198.0 ??
watpie

---

butek pisze:Zmieniłem tablicę routingu
I jak ma to sens ?

Kod: Zaznacz cały

Kernel IP routing table
Destination     Gateway         Genmask         Flags Metric Ref    Use Iface
192.168.1.0     192.168.1.35    255.255.255.0   UG    0      0        0 eth1
192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1
172.23.198.0    172.23.198.1    255.255.255.0   UG    0      0        0 eth0
172.23.198.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0
127.0.0.0       0.0.0.0         255.0.0.0       U     0      0        0 eth0
0.0.0.0         192.168.1.1     0.0.0.0         UG    0      0        0 eth1

Nie potrafię usunąć tych linii

Kod: Zaznacz cały

192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

Kod: Zaznacz cały

172.23.198.0    0.0.0.0         255.255.255.0   U     0      0        0 eth0

Jak je usuwam to usuwają się trasy z bramkami (UG)

nic dziwnego jak chcesz usunac wpis

Kod: Zaznacz cały

192.168.1.0     0.0.0.0         255.255.255.0   U     0      0        0 eth1

to wtedy wpis

Kod: Zaznacz cały

192.168.1.0     192.168.1.35    255.255.255.0   UG    0      0        0 eth1

straci sens, oznacza on ze pakiety do sieci 192.168.1.0/24 nalezy wyslac przez hosta 192.168.1.35 ale jak usuniesz poprzedni wpis to polozenie tego hosta jest nieznane

jesli masz wszystko w jednej sieci (fizycznie)
i problem z pinagami to polaczenie sieci 172.23.198.0/24 i 192.168.1.0

to:

na domyslnej bramce kompow z 172.23.198.0/24 dodaj trase do 192.168.1.0 w ten sposob:

Kod: Zaznacz cały

route add -net 192.168.1.0 netmask 255.255.255.0 dev <i tu interfejs kompa np: eth1 (oczywiscie podajesz ten przez ktory ma wysylac pakiety do kompow z 192.168.1.0)>

i

na domyslnej bramce kompow z 192.168.1.0 dodaj trase do 172.23.198.0/24 w ten sposob:

Kod: Zaznacz cały

route add -net 172.23.198.0 netmask 255.255.255.0 dev <i tu interfejs kompa np: eth1 (oczywiscie podajesz ten przez ktory ma wysylac pakiety do kompow z 172.23.198.0/24)>

ping

ping

Re: ping